CIUDAD DE MÉXICO (apro).— Autoridades y especialistas en ciberseguridad alertaron sobre una modalidad de fraude conocida como “toque fantasma”, que permite realizar cargos no autorizados mediante el uso de pagos sin contacto. La estafa aprovecha la tecnología NFC, utilizada por tarjetas bancarias, teléfonos móviles y relojes inteligentes para efectuar transacciones sin insertar la tarjeta ni introducir un código en compras de bajo monto.
La advertencia surge en un contexto de crecimiento del uso de pagos contactless en comercios, transporte y servicios digitales. Empresas de ciberseguridad, entre ellas Kaspersky, informaron desde 2024 sobre el aumento de reportes vinculados a este método de fraude en distintas regiones, principalmente en América Latina, Europa y Asia.
El “toque fantasma” consiste en la interceptación del código de autorización que se genera durante una transacción sin contacto. Ese código, conocido como token, es único y tiene una vigencia limitada, pero puede ser capturado y retransmitido casi en tiempo real para completar un pago en otra terminal.
Análisis, contexto y hechos. Da clic y síguenos en Google Noticias
De acuerdo con especialistas en seguridad digital, el fraude no clona la tarjeta ni roba directamente los datos bancarios, sino que aprovecha el proceso de comunicación inalámbrica entre la tarjeta o dispositivo de la víctima y un lector NFC controlado por los delincuentes.
Una de las formas detectadas del “toque fantasma” ocurre de manera presencial. Los atacantes portan teléfonos o lectores con NFC activado y se acercan a las víctimas en lugares con alta concentración de personas, como transporte público, centros comerciales o eventos masivos.
Sin contacto físico ni interacción directa, el dispositivo del atacante se aproxima a la tarjeta o al teléfono de la víctima y captura el token de pago. Ese código se envía de inmediato a otro dispositivo que ejecuta la compra en una terminal distinta, todo en cuestión de segundos.
Otra variante identificada opera de forma remota y se basa en técnicas de ingeniería social. En este esquema, los delincuentes contactan a la víctima mediante llamadas, mensajes o correos electrónicos y se hacen pasar por personal del banco o de una empresa financiera.
Durante el engaño, solicitan instalar una aplicación fuera de tiendas oficiales con el argumento de verificar o proteger la cuenta. Una vez instalada, la aplicación pide acercar la tarjeta física al teléfono. En ese momento, el software extrae el token NFC y lo retransmite para realizar cargos no autorizados.
Empresas de ciberseguridad reportaron que esta modalidad ha sido detectada en campañas dirigidas a usuarios de Android, aunque el método no se limita a un sistema operativo específico.
La tecnología NFC está diseñada para operar a distancias cortas y generar códigos de un solo uso, lo que reduce el riesgo de clonación tradicional. Sin embargo, los especialistas señalaron que la rapidez del proceso de autorización permite a los delincuentes explotar el breve intervalo de tiempo en que el token es válido.
Kaspersky informó que los intentos de este tipo de fraude se han concentrado principalmente en países como Brasil, India, China y España, aunque no existen cifras públicas específicas por país debido a que muchos casos se reportan directamente a instituciones bancarias.
Ante los reportes del “toque fantasma”, especialistas en seguridad digital y entidades financieras recomiendan a los usuarios:
En caso de detectar un cargo no reconocido, las recomendaciones incluyen contactar de inmediato al banco, bloquear el medio de pago y realizar la aclaración correspondiente para evitar más transacciones.
El “toque fantasma” se suma a otras modalidades de fraude digital detectadas en los últimos años conforme crece el uso de pagos electrónicos y billeteras digitales. Autoridades financieras han reiterado que los sistemas continúan actualizándose, mientras los delincuentes adaptan nuevas técnicas para explotar vulnerabilidades operativas. Este contenido fue hecho con la asistencia de una inteligencia artificial y contó con la revisión del editor/periodista.
Agregar Comentario